NOM :PEWAHO NGOUAGNAPI BRONDON

CLASSE :Res1 Aj

-ce qu'une DMZ

Tout d'abord, il faut savoir que DMZ, ça signifie en anglais DeMilitarized Zone, et en
français zone démilitari
Effectivement, on peut considérer que le réseau local est une zone de confiance, tandis
qu'Internet est une zone à risque. Grâce à la DMZ, on va chercher à protéger le réseau
local d'Internet, tout en permettant la communication entre les deux zones, mais de façon
contrôlée et filtrée.
En informatique, la DMZ est un sous-réseau isolé à la fois du réseau local et de l'internet,
c'est en quelque sorte une zone tampon, entre un réseau sécurisé et un réseau non sécurisé.
Bien sûr, le réseau non sécurisé c'est Internet, car on sait qu'Internet est dangereux.
Mais, alors, qu'est-ce que l'on en fait de cette DMZ ?
Dans la DMZ, on va venir connecter des serveurs avec des rôles spécifiques. Plus
précisément, en DMZ on va connecter des serveurs qui ont besoin d'accéder à Internet et
d'être joignables depuis Internet. Par exemple, un serveur Web si vous hébergez un site
Internet, ou alors un serveur de messagerie pour l'envoi et la réception d'e-mails. On peut
aussi positionner un serveur proxy qui sert de relais pour la navigation à Internet entre les
postes de travail et Internet.
Depuis quelques années maintenant, il est très courant d'utiliser un reverse proxy plutôt
que d'exposer directement les serveurs, que ce soit les serveurs Web ou les serveurs de
messagerie. Ce serveur va gérer les connexions entrantes, en provenance d'Internet, pour les
relayer vers le(s) bon(s) serveur(s).
L'objectif étant de ne jamais exposer directement sur Internet les serveurs et postes de
travail connectés au réseau local de l'entreprise. Les flux de ces équipements doivent
passer par la DMZ, et donc par la zone tampon, afin de contrôler, relayer et filtrer les
échanges entre le réseau local et Internet.
L'intérêt de la DMZ, c'est de créer une zone étanche dans laquelle sera contenu un pirate
informatique en cas de compromission d'un serveur. En théorie, car cela dépend aussi de la
configuration en place et notamment du firewall (pare-feu) car c'est bien lui qui crée la

séparation entre les différentes zones : le réseau local (LAN), Internet et la DMZ. MZ
Pour mettre en place une zone démilitarisée au sein d'une architecture réseau, on a besoin d'un
firewall (c'est-à-dire un pare-feu).

Prenons l'exemple le plus courant : la création d'une DMZ avec un seul et unique firewall.
Avec cette configuration, il faut imaginer un pare-feu avec trois zones déclarées où chaque
zone dispose de sa propre adresse IP. Ainsi, une machine dans le réseau local passera par le
pare-feu pour accéder à la DMZ (ou à Internet, selon la politique en place).
Sur le schéma ci-dessous, il est important de préciser que le réseau local et la DMZ ont un
adresse IP qui s'appuie sur les classes d'adresses IP privées
NOM :PEWAHO NGOUAGNAPI BRONDON
CLASSE :Res1 Aj

DMZ avec un seule pare feu

On peut imaginer que le serveur en DMZ soit le serveur de messagerie de l'entreprise. On le

positionne en DMZ car il est exposé sur Internet : il doit accéder à Internet pour envoyer les e-
mails, mais aussi être joignable depuis Internet pour recevoir les e-mails. De ce fait, il
représente un risque en termes de sécurité.

Depuis le réseau, on autorise les machines à contacter le serveur de messagerie, en DMZ, via
quelques protocoles et ports seulement : SMTP pour l'envoi des e-mails et IMAP pour la
réception des e-mails.
Éventuellement, on peut ajouter le protocole HTTPS pour accéder au Webmail. Par contre, le
serveur de messagerie n'est pas autorisé à réaliser un ping vers le réseau local, ni à établir une
connexion Bureau à distance ou un transfert de fichiers vers une machine du réseau local, etc.
Le pare-feu devra refuser les flux des autres protocoles (ICMP, SSH, RDP, etc.) pour des
raisons de sécurité.
Le positionnement du serveur de messagerie permet de créer une politique de sécurité
stricte et adaptée au sein du pare-feu.
NOM :PEWAHO NGOUAGNAPI BRONDON
CLASSE :Res1 Aj

B. DMZ avec deux pare-feu

la DMZ est créée grâce à la zone tampon située entre les deux pare-feu.L'idéal c'est de mettre
en place un serveur proxy en DMZ pour que la connexion Internet de tous les
équipements du réseau local passe par ce serveur proxy situé en DMZ, ce dernier sera
alors un relais. De cette façon, les machines du réseau local ne sont jamais en contact direct
avec Internet. Attention, la mise en place d'un proxy est tout à fait possible lorsqu'il n'y a
qu'un seul pare-feu.

Avec deux pare-feu, on peut appliquer la configuration suivante :

 Le pare-feu n°1 autorise seulement les communications entre Internet et la DMZ

NOM :PEWAHO NGOUAGNAPI BRONDON
CLASSE :Res1 Aj
 Le pare-feu n°2 autorise seulement les communications entre le réseau local et la DMZ
Dans les deux cas, avec des protocoles et des ports spécifiques. Si un attaquant parvient à
passe-outre la politique de sécurité du pare-feu n°1 et prendre la main du serveur situé en
DMZ, il devra passer une seconde barrière : le pare-feu n°2, afin d'accéder au réseau et aux
serveurs connectés directement sur ce segment du réseau.